Anda di halaman 1dari 25

Auditing IT Governance Controls

Tugas Mata Kuliah


Auditing EDP

Oleh: Kelompok 6
Qotrunnada Charisa Salsabila 160810301062
Alya Arzia Usnah 160810301064
Siska Ayu Zumaroh 160810301078
Reza Eko Prasetyo 160810301100

Program Studi Akuntansi


Fakultas Ekonomi Dan Bisnis
Universitas Jember
2019
BAB 1

PENDAHULUAN

1.1 LATAR BELAKANG

Pada saat ini, penggunaan teknologi dan informasi merupakan hal yang tidak dapat
dipisahkan dalam aktivitas suatu perusahaan. Namun, kompleksitas dan intensitas dari
teknologi informasi merupakan tantangan yang harus dihadapi pimpinan perusahaan
untuk bisa memanfaatkannya dan memberikan kontribusi secara opyimal dalam
pencapaian tujuan perusahaan. Untuk mengatasi hal tersebut, pemahaman mengenai IT
Governance perlu ditingkatkan oleh seluruh pimpinan perusahaan.

IT Governance adalah sebuah struktur dari hubungan relasi dan proses


untukmengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan
denganmemberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan
TIdan proses bisnis perusahaan. IT Governance muncul sebagai jembatan antara scope
bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang
diterapkan tidak sesuai dengan yang diharapkan.

Pada bab ini menyajikan mengenai resiko, pengawasan dan uji kontrol yang
berhubungan dengan tata kelola teknologi informasi. Tata kelola TI telah diatur oleh
SOX dan kerangka COSO. Setiap elemen tata kelola teknologi informasi memiliki kontrol
internal dan implikasi pelaporan keuangan. Pertama, bab ini menyajikan eksposur yang
dapat timbul dari dalam fungsi penataan yang disesuaikan. Selanjutnya, bab ini
meninjau ancaman dan kontrol terhadap pusat komputer yang mana termasuk
didalamnya melindunginya dari kerusakan dan kehancuran dari bencana alam,
kebakaran, suhu dan kelembapan. Bab ini kemudian menyajikan elemen kunci dari
perencanaan penanggulangan bencana, termasuk menyediakan situs cadangan kedua,
identifikasi aplikasi penting, menampilkan cadangan dan prosedur penyimpanan situs
mati, membuat sebuah tim penanggulangan bencana dan menguji perencanaan. Sesi
akhir bab ini menyajikan isu mengenai penambahan alih daya teknologi informasi.
Logika dibalik keputusan manajemen untuk alih daya adalah diselidiki. Bab ini juga
mengungkapkan keuntungan yang diharapkan dari alih daya resiko. Bab ini
menyimpulkan dengan sebuah keputusan dari isu audit dalam lingkungan alih daya dan
peran dari laporan SAS 70.

1
Topik ini menarik untuk dibahas karena menjelaskan bagaimana bagaimana sebuah
entitas semestinya melakukan pengelolaan fungsi teknologi informasi dengan baik
supaya kerusakan dan resiko buruk lainnya dapat terantisipasi dengan maksimal.

2
BAB 2
PEMBAHASAN

2.1 TATA KELOLA TEKNOLOGI INFORMASI


Tata kelola teknologi informasi adalah sekumpulan baru tata kelola perusahaan
yang terintegrasi pada manajemen dan penilaian sumber daya strategis TI. Tujuan
utama tata kelola TI adalah pengurangan risiko. Pengaturan IT yang modern, namun
mengikutii filosofi semua stakeholder perusahaan, termasuk Dewan Direksi, manajemen
puncak, dan pengguna departemental (yaitu, akuntansi dan keuangan) yang menjadi
peserta aktif dalam keputusan-keputusan yang akan diambil. Keberhasilan berbasis IT
yang luas seperti mengurangi risiko dan meningkatkan kemungkinan keputusan itu akan
sesuai dengan kebutuhan pengguna, serta kebijakan perusahaan. Keterlibatan berbasis
luas seperti itu mengurangi risiko dan meningkatkan kemungkinan bahwa keputusan TI
akan sesuai dengan kebutuhan pengguna, kebijakan perusahaan, inisiatif strategis, dan
persyaratan pengendalian internal di bawah Sarbanes-Oxley (SOX).

Tata Kelola Pengendalian Teknologi Informasi


Tidak semua isu penting organisasi merupakan internal control di bawah SOX. Dalam
bab ini, dipertimbangkan tiga tata kelola TI yang dikerjakan oleh SOX dan kerangka
COSO yaitu:
1. Struktur organisasi dari fungsi IT
2. Pusat operasi computer
3. Perencanaan pemulihan bencana

Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko.
Kemudian, tujuan audit disajikan, yang menentukan apa yang harus diverifikasi pada
fungsi kontrol di tempat. Pengujian ini dapat dilakukan oleh auditor eksternal sebagai
bagian dari layanannya oleh auditor internal (atau penasihat profesional jasa) yang
menyediakan bukti manajemen kantor SOX. Dalam hal ini, kami tidak membuat
perbedaan antara dua jenis sevices.

2.2 STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Organisasi fungsi memiliki implikasi untuk alam dan efektivitas pengendalian


internal, yang, pada akhirnya memiliki implikasi untuk audit. Dalam hal ini, beberapa
masalah kontrol penting yang berkaitan dengan struktur tersebut diperiksa. Ini
diilustrasikan melalui dua model ekstrim organisasi-pendekatan yang terpusat dan
terdistribusi.

Pengolahan Data Terpusat

Dalam model pengolahan data terpusat, pengolahan data semua dilakukan oleh
satu atau lebih komputer besar yang bertempat di pusat situs yang melayani pengguna
di seluruh organisasi, di mana Layanan kegiatan konsolidasi dan dikelola sebagai
sumber daya bersama organisasi. Pengguna akhir bersaing untuk sumber daya

3
berdasarkan kebutuhan. Fungsi layanan itu biasanya diperlakukan sebagai pusat biaya
biaya operasi yang dikenai biaya kembali kepengguna akhir. Di dalam model terpusat itu
merupakan layanan struktur dan menunjukkan area layanan primer, seperti: administrasi
database, pengolahan data, dan pengembangan sistem serta pemeliharaan. Berikut
deskripsi fungsi utama dari setiap bidang ini.

a. Administrasi Database

Perusahaan yang terorganisir secara sentral menjaga sumber daya data mereka
yang dibagi untuk semua pengguna akhir.Dalam pengaturan berbagi data ini,
sebuah kelompok independen yang dipimpin oleh database administrator (DBA)
bertanggung jawab untuk keamanan dan integritas database.

b. Pengolahan Data

Pengolahan data kelompok mengelola sumber daya menggunakan komputer


untuk melakukan pengolahan transaksi sehari-hari. Beberapa fungsi yang
digunakan oleh organisasi adalah sebagai berikut: konversi data, operasi
komputer dan perpustakaan data.

1. Konversi data

Fungsi konversi data mendapatkan data yang bersumber dari hard-copy


dokumen ke komputer masukan. Sebagai contoh, konversi data dapat
melibatkan catatan order penjualan ke dalam aplikasi order penjualan dalam
sistem modern, atau mentranskrip data ke dalam media magnetik (pita atau
disk) cocok untuk pemrosesan dalam warisan jenis sistem komputer.

2. Operasi komputer

File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh
pusat komputer, yang dikelola oleh kelompok operasi komputer. Akuntansi
aplikasi biasanya dijalankan sesuai dengan jadwal yang ketat yang
dikendalikan oleh sistem operasi komputer pusat.

3. Perpustakaan data.

Perpustakaan data adalah sebuah ruangan yang bersebelahan dengan pusat


komputer yang menyediakan brankas strorage untuk file off-line data. File-file
tersebut bisa backup atau file data saat ini. Misalnya, Perpustakaan data
dapat digunakan untuk menyimpan data cadangan pada DVD, CD-ROM,
kaset, atau lain penyimpanan yang membagi. Itu juga dapat digunakan untuk
menyimpan file data operasional saat ini pada pita magnetik dan removable
disk paket. Selain itu, Perpustakaan data yang digunakan untuk menyimpan
asli salinan perangkat lunak komersial dan lisensi mereka untuk disimpan.
Pustakawan data, yang bertanggung jawab untuk penerimaan, Penyimpanan,
pengambilan, dan hak asuh file data, kontrol akses ke perpustakaan.
Pustakawan masalah file data untuk operator komputer sesuai dengan
program permintaan dan mengambil hak asuh file saat memproses atau

4
prosedur cadangan selesai. Tren dalam beberapa tahun terakhir telah
dikurangi atau bahkan menghilangkan peran pustakawan data di banyak
organisasi.

c. Pengembangan Sistem Dan Pemeliharaan

Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait, yaitu:
sistem pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung
jawab untuk menganalisis kebutuhan pengguna dan merancang sistem baru
untuk memenuhi kebutuhan tersebut.Para peserta dalam kegiatan pembangunan
sistem termasuk profesional sistem, pengguna akhir, dan stakeholder.

Sistem profesional termasuk sistem analis, database desainer, dan pemrogram


yangmerancang dan membangun sistem.Profesional sistem mengumpulkan
fakta-fakta tentang masalah pengguna, menganalisis fakta, dan merumuskan
solusi.Hasil dari usaha mereka adalah sistem informasi yang baru.

Pengguna akhir adalah orang-orang untuk siapa sistem tersebut


dibangun.Mereka adalah manajer yang menerima laporan dari sistem dan
personil operasi yang bekerja secara langsung dengan sistem sebagai bagian
dari tanggung jawab mereka sehari-hari.

Pemangku kepentingan individu di dalam atau di luar perusahaan yang memiliki


minat dalam sistem, tetapi tidak pengguna akhir.Termasuk akuntan, internal
auditor, auditor eksternal, dan lainnya yang mengawasi pengembangan sistem.

Setelah sistem baru telah dirancang dan dilaksanakan, kelompok pemeliharaan


sistem bertanggung jawab menjaganya agar tetap aktif dengan kebutuhan
pengguna.Pemeliharaan mengacu pada membuat perubahan terhadap logika
program untuk mengakomodasi perubahan dalam kebutuhan pengguna dari
waktu ke waktu.Selama sistem hidup (sering beberapa tahun), sebanyak 80 atau
90 persen dari total biaya yang mungkin timbul melalui kegiatan pemeliharaan.

Pemisahan Fungsi Teknologi Informasi Tidak Kompatibel

Secara khusus, tugas operasional harus terpisah untuk:

1. Transaksi otorisasi terpisah dari pengolahan transaksi.


2. Pencatatan yang terpisah dari penitipan fisik aset.
3. membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko
kecurangan akan dapat diminimalisir.

Lingkungan ini cenderung untuk mengkonsolidasikan kegiatan. Satu aplikasi


mungkin mengotorisasi, memproses, dan merekam semua aspek transaksi. Dengan
demikian, fokus pemisahan kontrol bergeser dari tingkat operasional (pengolahan tugas
yang komputer sekarang melakukan transaksi) ke tingkat yang lebih tinggi yaitu relasi
organisasi dalam fungsi layanan komputer.

Memisahkan Sistem Pengembangan dari Operasi Komputer.

5
Pemisahan kegiatan operasi dan pengembangan sangat peting untuk dilakukan.
Diantara hubungan kelompok-kelompok ini harus sangat formal, dan tanggung jawab
mereka tidak akan bercampur. Profesional pengembangan dan pemeliharaan sistem
harus membuat (dan mempertahankan) sistem bagi pengguna, dan harus ada
keterlibatan dalam memasukkan data, atau menjalankan aplikasi (yaitu, operasi
komputer). Staf operasi harus menjalankan sistem ini dan telah ada keterlibatan dalam
desain mereka. Fungsi mewarisi secara turun-temurun tidak kompatibel, dan
mengkonsolidasikan mereka mengundang kesalahan dan penipuan. Dengan
pengetahuan rinci logika aplikasi dan parameter kontrol dan akses ke sistem operasi
komputer dan utilitas, seorang individu bisa membuat perubahan tidak sah ke aplikasi
selama pelaksanaannya. Perubahan tersebut mungkin sementara dan akan menghilang
tanpa jejak ketika aplikasi berakhir.

Memisahkan Administrasi Database dari Fungsi Lain

Kontrol organisasi penting yang lain adalah pemisahan database administrator


(DBA) dari fungsi pusat komputer lain. Fungsi DBA bertanggung jawab untuk sejumlah
tugas penting yang berkaitan dengan keamanan database, termasuk menciptakan
skema database dan pengguna, menetapkan otoritas akses database kepada
pengguna, pemantauan penggunaan database, dan rencana untuk ekspansi masa
depan. Mendelegasikan tanggung-jawab dan melakukan tugas-tugas yang tidak
kompatibel akan mengancam integritas database.

Memisahkan Pengembangan Sistem Baru dari Pemeliharaan

Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka


menjadi dua kelompok: analisis sistem dan pemrograman. Kelompok analisis sistem
bekerja dengan pengguna untuk menghasilkan detail desain sistem baru. Kelompok
pemrograman membuat kode program sesuai dengan spesifikasi desain. Dalam
pendekatan ini, para programmer yang membuat kode program-program asli, juga
mempertahankan sistem selama fase pemeliharaan siklus hidup pengembangan
sistem.Meskipun pengaturan umum, pendekatan ini dikaitkan dengan dua jenis kontrol
masalah yaitu dokumentasi yang tidak memadai dan potensi untuk program penipuan.

a. Dokumentasi yang tidak memadai.

Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah dan
tantangan yang signifikan untuk banyak organisasi.Ada setidaknya dua penjelasan
untuk fenomena ini.Pertama, mendokumentasikan sistem ini tidak menarik seperti
merancang, pengujian, dan menerapkannya.Sistem profesional lebih memilih untuk
beralih ke proyek baru yang menarik, daripada menyelesaikan dokumen saja.

Mungkin alasan kedua untuk minimnya dokumentasi adalah keamanan pekerjaan.


Ketika sistem yang tidak didokumentasikan dengan baik,akan sangat sulit dilakukan
pengujian. Oleh karena itu, pemrogram yang memahami sistem yang
mempertahankan daya tawar akanrelatif sangat diperlukan. Ketika programmer
meninggalkan perusahaan, maka programmer baru akanmewarisi tanggung-jawab

6
pemeliharaan untuk sistem tidak terdokumentasikan, tergantung pada kompleksitas,
dan periode transisi yang mungkin panjang dan mahal.

b. Program penipuan.

Ketika para programmer asli dari sistem juga diberikan tanggung-jawab


pemeliharaan, potensi untuk penipuan meningkat.Progam penipuan melibatkan
perubahan yang tidak sah dan membuat progam untuk melakukan tindakan
ilegal.Programmer asli mungkin berhasil menyembunyikan penipuan kode di antara
seribu baris kode yang sah dan ratusan modul yang membentuk sebuah sistem.
Agar penipuan yang dilakukan sukses, programmer harus mampu mengendalikan
situasi melalui akses eksklusif dan tak terbatas untuk program aplikasi. Pemrogram
perlu melindungi kode penipuan dari deteksi disengaja oleh programmer lainyang
melakukan pemeliharaan atau oleh auditor penguji aplikasi kontrol. Oleh karena itu,
memiliki tanggung jawab untuk pemeliharaan adalah unsur penting dalam skema
programmer.Melalui otoritas pemeliharaan ini, programmer dapat dengan bebas
akses sistem, menonaktifkan penipuan kode selama audit dan mengembalikan
kode.Penipuan semacam ini dapat terjadi terus menerus selama bertahun-tahun
tanpa deteksi.

Struktur yang Unggul untuk Pengembangan Sistem

Fungsi pengembangan sistem dipisahkan menjadi dua kelompok yang berbeda yaitu
pengembangan sistem baru dan sistem pemeliharaan. Grup pengembangan sistem baru
bertanggung jawab untuk merancang, memprogram, dan melaksanakan proyek-proyek
sistem yang baru. Setelah sukses implementasi, tanggung jawab untuk pemeliharaan
sistem jatuh ke grup pemeliharaan sistem. Restrukturisasi ini memiliki implikasi langsung
pada dua kontrol masalah :

1. Standar dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan


dokumentasi untuk melaksanakan tugas pemeliharaan. Tanpa dokumentasi lengkap
dan memadai, transfer informasi,dan tanggung-jawab sistem dari pengembangan
sistem baru untuk pemeliharaan sistem tidakakan terjadi.
2. Menutup akses programmer asli untuk menghalangi penipuan. Kode curang, sekali
disembunyikan di dalam sistem oleh programmer kontrol kemungkinan akan
ditemukan risiko yang meningkat terkait dengan program penipuan. Keberhasilan
kontrol ini tergantung pada adanya kontrol lain yang membatasi, mencegah dan
mendeteksi akses tidak sah ke program. Meskipun organisasi pemisahan saja tidak
dapat menjamin bahwa penipuan tidak akan terjadi, penting bagi mereka untuk
menciptakan lingkungan pengendalian yang diperlukan.

Model Terdistribusi
Selama bertahun-tahun, ekonomi skala menyukai komputer besar dan kuat dan
pemrosesan terpusat. Namun saat ini, sistem kecil, bertenaga, dan murah telah
mengubah gambar ini secara dramatis. Alternatif model terpusat adalah konsep
pengolahan data terdistribusi. Topik DDP cukup luas, menyentuh topik terkait seperti
komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan otomasi kantor.
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil

7
yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai
dengan fungsi bisnis, lokasi geografis, atau keduanya.
Perbedaan varian dari model terpusat adalah bahwa terminal (atau mikrokomputer)
didistribusikan ke pengguna akhir untuk menangani input dan output. Ini menghilangkan
kebutuhan akan kelompok konversi data terpusat, karena pengguna sekarang
melakukan tugas demikian. Namun, di bawah model ini, pengembangan sistem, dan
operasi komputer dan administrasi basis data tetap terpusat.
Alternatif keberangkatan yang signifikan dari model terpusat adalah
mendistribusikan semua layanan komputer kepada pengguna akhir, dimana beroperasi
sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI pusat dari struktur
organisasi.

RISIKO BERHUBUNGAN DENGAN DDP


1. Penggunaan sumber daya yang tidak langsung
DPP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait dengan
penggunaan sumber daya organisasi yang tidak efisien. Berikut adalah uraian
mengenai risiko tersebut:
a) Risiko salah urus sumber daya TI di seluruh organisasi oleh pengguna akhir.
Beberapa berpendapat bahwa ketika mengorganisir sumber daya TI yang luas
melebihi jumlah ambang batas, misalnya 5 persen dari total anggaran operasi
yang efektif, tata kelola TI memerlukan pengelolaan pusat dan pemantauan
sumber daya semacam itu. Bagi banyak organisasi, Layanan TI termasuk
operasi komputer, pemrograman, konversi data dan pengelolaan basis data
memenuhi atau melampaui ambang batas ini.
b) DPP dapat meningkatkan risiko ketidakefektifan operasional karena adanya
tugas berlebihan yang dilakukan pada panitia pengguna akhir. Inisiatif
pengembangan sistem otonom yang didistribusikan ke seluruh perusahaan
dapat mengakibatkan setiap pengguna menemukan kembali kemudi daripada
mendapatkan manfaat dari pekerjaan orang lain. Misalnya, program aplikasi
yang dibuat oleh satu pengguna, yang bisa digunakan dengan sedikit atau tanpa
perubahan oleh orang lain, akan didesain ulang dari awal dan bukan dibagikan.
Demikian juga, data yang umum bagi banyak pengguna dapat diciptakan
kembali untuk masing-masing, menghasilkan tingkat redundansi data yang
tinggi. Keadaan ini berimplikasi pada akurasi data dan konsistensi.
c) Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat lunak yang
tidak kompatibel di antara fungsi pengguna akhir. Mendistribusikan tanggung
jawab untuk pembelian TI kepada pengguna akhir dapat menyebabkan
keputusan yang disusun dengan tidak terkoordinasi. Misalnya, pengambil
keputusan di unit organisasi yang berbeda yang bekerja secara independen
dapat menyelesaikan sistem operasi yang berbeda dan tidak kompatibel,
platform teknologi, spreadsheet, pengolah kata, dan paket data.
Ketidaksesuaian perangkat keras dan perangkat lunak dapat menurunkan dan
mengganggu konektivitas dua unit, menyebabkan hilangnya transaksi dan
kemungkinan penghancuran jalur audit.

2. Penghancuran jalur audit

8
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
perusahaan dan laporan keuangan yang melapor pada kegiatan tersebut. Auditor
menggunakan jejak audit untuk melacak transaksi keuangan terpilih dari dokumen
sumber yang menangkap kejadian tersebut, melalui jurnal, buku besar, dan akun
buku besar yang merekam kejadian tersebut, dan akhirnya pada laporan keuangan
itu sendiri. Jejak audit sangat penting untuk layanan pengungkapan auditor.
Dalam Sistem DDP, jejak audit terdiri dari serangkaian file transaksi digital yang
berada sebagian atau seluruhnya pada komputer pengguna akhir. Jika pengguna
akhir secara tidak sengaja menghapus salah satu file, percobaan audit bisa
dihancurkan dan tidak dapat dibuka lagi. Demikian pula, jika pengguna akhir secara
tidak sengaja memasukkan transaksi ke file audit trail, itu bisa menjadi rusak.

3. Pemisahan tugas yang tidak memadai


Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di
beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan unit kecil tak berdampingan yang tidak memungkinkan pemisahan
yang diinginkan dari fungsi yang tidak sesuai. Misalnya, dalam satu unit orang yang
sama dapat menulis program aplikasi, melakukan pemeliharaan program,
memasukkan data transaksi ke komputer, dan mengoperasikan peralatan komputer.
Situasi seperti itu akan menjadi pelanggaran mendasar pengendalian internal.

4. Mempekerjakan profesional yang berkualitas


Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk
mengevaluasi kredensial teknis dan pengalaman relevan kandidat yang
mengajukan permohonan untuk posisi profesional TI. Juga, jika unit organisasi di
mana seorang karyawan baru masuk adalah kecil, kesempatan untuk pertumbuhan
pribadi, melanjutkan pendidikan, dan promosi mungkin terbatas. Untuk alasan ini,
manajer mungkin mengalami kesulitan untuk menarik personil berkualifikasi tinggi.
Risiko kesalahan pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.

5. Kurangnya standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman,
memperoleh perangkat keras dan perangkat lunak, dan mengevaluasi kinerja
mungkin tidak rata diterapkan atau bahkan tidak ada. Penentang DDP berpendapat
bahwa risiko yang terkait dengan perancangan dan pengoperasian sistem DDP
dapat dilakukan hanya jika standar tersebut diterapkan secara konsisten.

KEUNTUNGAN DDP
1. Pengurangan biaya
Selama bertahun-tahun, mencapai skala ekonomi merupakan justifikasi utama
untuk pendekatan pengolahan data terpusat. Ekonomi pengolahan data disukai
komputer besar, mahal, dan kuat. Variabel kebutuhan yang luas sehingga sistem
terpusat diharapkan dapat memuaskan juga menyerukan komputer yang sangat
umum dan menggunakan sistem operasi yang kompleks. Biaya overhead yang

9
terkait dengan sistem seperti itu, bagaimanapun dapat mengurangi keunggulan
kekuatan pemrosesan mentahnya. Jadi, bagi banyak pengguna, sistem terpusat
yang besar merepotkan berlebihan berlebihan sehingga mereka harus melarikan
diri. Komputer mikro dan mikrokomputer yang kuat dan murah yang dapat
menggerakkan fungsi khusus telah mengubah ekonomi pengolahan data secara
dramatis. Selain itu, biaya unit penyimpanan data, yang pernah menjadi
pembenaran untuk mengkonsolidasikan data di lokasi sentral, sudah tidak menjadi
pertimbangan utama. Selain itu, perpindahan ke DDP telah mengurangi biaya di dua
area lainnya: (1) data dapat ditingkatkan dan dimasukkan oleh pengguna akhir,
sehingga menghilangkan tugas terpusat dari persiapan data dan (2) ketuntasan
aplikasi dapat dikurangi, yang pada gilirannya mengurangi pengembangan sistem
dan biaya perawatan

2. Tanggung jawab pengendalian biaya meningkat


Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi mereka.
Tanggung jawab ini mengharuskan mereka diberi wewenang yang benar dengan
wewenang untuk membuat sumber daya pengambilan keputusan yang
mempengaruhi keseluruhan kesuksesan mereka. Ketika manajer dilarang membuat
keputusan yang diperlukan untuk mencapai tujuan mereka, kinerjanya dapat
terpengaruh secara negatif. Yang kurang agresif dan kurang efektif bisa
berkembang.
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih
baik melebihi biaya tambahan yang dikeluarkan untuk mendistribusikan sumber
daya ini. Mereka berpendapat bahwa jika kemampuan TI memang penting bagi
keberhasilan operasi bisnis, maka manajemen harus diberi kontrol atas sumber
daya ini. Argumen ini membantah diskusi awal yang mendukung pemusatan sumber
daya organisasi.

3. Meningkatkan kepuasan pengguna


Mungkin manfaat DDP yang paling sering dikutip adalah kepuasan pengguna.
Pendukung DDP mengklaim bahwa sistem pendistribusian ke pengguna akhir
memperbaiki sebagian kebutuhan yang terlalu sering tidak terpuaskan pada model
terpusat.
1. Seperti yang dinyatakan sebelumnya, pengguna ingin mengendalikan sumber
daya yang mempengaruhi profitabilitas mereka
2. Pengguna menginginkan profesional sistem bersikap responsif terhadap situasi
spesifik mereka
3. Pengguna ingin lebih aktif terlibat dalam pengembangan dan penerapan sistem
mereka sendiri

4. Fleksibilitas cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk mendukung
fasilitas komputasi untuk melindungi dari potensi bencana seperti kebakaran, banjir,
sabotase, dan gempa bumi. Satu-satunya cara untuk mendukung situs komputer di
sekitar bencana tersebut adalah dengan menyediakan fasilitas komputer kedua.
Kemudian di bab selanjutnya kami memeriksa perencanaan pemulihan bencana

10
untuk kontinjensi semacam itu. Model terdistribusi menawarkan fleksibilitas
organisasi untuk menyediakan cadangan. Setiap unit TI yang terpisah secara
geografis dapat dirancang dengan kapasitas berlebih. Jika bencana
menghancurkan satu situs, situs lain dapat menggunakan kelebihan kapasitas
mereka untuk memproses transaksi situs yang hancur. Tentu pengaturan ini
memerlukan keresahan yang erat antara manajer pengguna akhir untuk
memastikan bahwa mereka tidak menerapkan perangkat keras dan perangkat lunak
yang tidak kompatibel.

Mengontrol Lingkungan DDP


DPP memiliki nilai prestise terdepan, yang selama analisis pro dan kontranya,
dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional.
Beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan sepenuhnya
apakah struktur organisasi terdistribusi akan mencapai tujuan bisnis mereka dengan
lebih baik. Banyak inisiatif DDP dan bahkan kontraproduktif, karena pembuat keputusan
melihat kebajikan sistem ini yang lebih simbolis daripada nyata. Sebelum mengambil
langkah yang tidak dapat dipulihkan, pengambil keputusan harus menilai manfaat
sebenarnya dari DDP untuk organisasinya. Meskipun demikian, perencanaan dan
implementasi kontrol yang hati-hati dapat mengurangi beberapa risiko DDP yang telah
dibahas sebelumnya. Bagian ini mengulas beberapa perbaikan model DDP yang ketat.

Melaksanakan fungsi IT perusahaan


Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim pada
rangkaian alternatif struktural. Kebutuhan perusahaan kebanyakan berada di antara titik
akhir ini. Seringkali, masalah kontrol yang telah dijelaskan sebelumnya dapat diatasi
dengan menerapkan fungsi TI perusahaan.
Fungsi ini sangat dikurangi ukuran dan status dari model terpusat, grup TI perusahaan
menyediakan pengembangan sistem dan pengelolaan basis data untuk sistem entitas
yang luas yang ditambahkan ke saran teknis dan keahlian kepada komunitas TI
terdistribusi.

a. Pengujian pusat perangkat lunak dan perangkat keras komersial


Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna
akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk
perangkat keras yang bersaing di bawah pertimbangan. Dorongan teknis secara
umum seperti ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem
dengan standar industri dan organisasi. Hasil uji kemudian dapat didistribusikan
ke area pengguna sebagai standar untuk membimbing keputusan pengambil
keputusan. Hal ini memungkinkan organisasi untuk secara efektif memusatkan
akuisisi, pengujian dan implementasi perangkat lunak dan perangkat keras dan
menghindari banyak masalah yang dibahas sebelumnya.
b. Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna
selama pemasangan perangkat lunak baru dan dalam mengatasi masalah
masalah perangkat keras dan perangkat lunak. Pembuatan papan buletin

11
elektronik untuk pengguna dengan cara yang sangat baik untuk menyumbang
informasi tentang masalah umum dan memungkinkan berbagi program yang
dikembangkan pengguna dengan orang lain dalam organisasi. Selain itu, ruang
obrolan bisa dibuat untuk memberikan diskusi berulir, sering, bertanya
pertanyaan dan dukungan intranet. Fungsi TI perusahaan juga bisa menyediakan
meja bantuan, di mana pengguna dapat menelepon dan mendapat tanggapan
cepat terhadap pertanyaan dan masalah. Di banyak oganisasi staf layanan
pengguna mengajarkan kursus teknik untuk pengguna akhir dan juga untuk
petugas layanan komputer. Peningkatan tingkat kesadaran pengguna dan
mendorong berlanjutnya pendidikan tenaga teknis
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP
dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.
d. Review pribadi
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna
akhir, penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi
nilai berharga bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa
sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan tingkat
risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal, daripada santai, harus ada antara tugas yang
tidak sesuai.

Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur
logika dan daftar kode program, seharusnya tidak menjadi bagian dari
dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:

12
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk
fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat
lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan
diserahkan ke unit TI terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.

2.3 PUSAT KOMPUTER

Akuntan secara rutin memeriksa lingkungan fisik dari pusat komputer sebagai bagian
dari tujuan suatu audit tahunan. Di bagian ini menyajikan risiko pusat komputer dan
kontrol yang membantu untuk mengurangi risiko dan menciptakan lingkungan yang
aman. bidang-bidang berikut merupakan paparan potensial yang dapat mempengaruhi
kualitas informasi catatan akuntansi, transaksi pengolahan dan efektivitas pengendalian
internal konvensional lain.

Lokasi Fisik

Lokasi fisik dari pusat komputer secara langsung berpengaruh pada resiko kerusakan
yang disebakan secara alami maupun yang dibuat oleh manusia.Untuk menekan
kemungkinan tersebut maka pusat komputer baiknya dijauhkan dari kegiatan manusia
maupun kesalahan struktur tanah yang menyebabkan bencana.Pusat komputer harus
dipisahkan dari lalu lntas, sehingga baiknya diletakkan dilantai yang terpisah atau
bangunan terpisah, namun meletakkan pusat komputer diruang bawah tanah justru
beresiko terkena banjir.

Konstruksi

Idealnya, sebuah pusat komputer semestinya berada di gedung tersendiri dengan


konstruksi kokoh yang aksesnya diawasi.Kabel daya dan telepon harus berada dibawah
bangunan.Jendela bangunan seharusnya tidak dibuka dan sistem penyaringan udara
mampu mencegah adanya debu masuk.

Akses

Akses ke pusat komputer harus dibatasi pada operator dan karyawan lainnya yang
bekerja.Kontrol fisik, seperti pintu terkunci harusnya memberikan akses terbatas pada
pusat komputer.Akses mestina diawasi dengan menggunkan kartu gesek, pintu darurat
terdekat dengan alarm. Untuk mencapai level keamanan yang lebih tinggi harusnya di
awasi dengan CCTV. Pusat komputer juga seharusnya diakses dengan sandi.

Pengaturan Suhu Udara

13
Komputer berfungsi dengan baik pada lingkungan yang memiliki pengatur suhu udara
(AC), dan menyediakan AC yang memadai merupakan persyaratan yang seringkali ada
dalam garansi vendor. Komputer beroperasi dengan baik di kisaran suhu 70 sampai 75
derajat fahrenheit dan tingkat kelembaban 50%. Udara diusahakan agara selalu dingin
agar komputer tidak eror atau pemrosesan yang lambat akibat perubahan suhu.

Pencegahan Kebakaran
Kebakaran adalah ancaman paling serius pada perusahaan peralatan komputer. Banyak
perusahaan yang mengalami kebakaran pusat komputer yang gulung tikar akibat
kehilangan catatan penting, seperti piutang dagang. Implementasi dari sistem
pencegahan kebekaran yang efektif adalah membutuhkan konsultasi dengan spesialis.
Bagaimanapun, beberapa dari fitur-fitur utama dari sistem tersebut meliputi:
1. Alarm otomatis dan manual harus terpasang di lokasi yang strategis disekitar
instalasi. Alarm ini harus tersambung dengan stasiun pemadam kebakaran yang
dikelola secara permanen.
2. Harus ada sistem pemadam api otomatis yang mengeluarkan jenis penekanan
yang sesuai untuk lokasi tersebut.
3. Pemadam api manual harus diletakkan pada lokasi yang strategis.
4. Bangunan harus berasal dari konstruksi yang tahan terhadap kerusakan air
yang disebabkan oleh peralatan pemadam kebakaran.
5. Pintu keluar harus ditandai dengan jelas dan diterangi selama kebakaran.

Toleransi Kesalahan
Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika
sebagian dari sistem gagal disebabkan kerusakan hardware, kesalahan dalam program
aplikasi, atau kesalahan operator. Menerapkan kontrol toleransi kesalahan memastikan
bahwa tidak ada satu titik potensi kegagalan sistem yang ada. Kegagalan total dapat
terjadi hnya jika beberapa komponen gagal. Dua contoh dari teknologi toleransi
kesalahan dibahas selanjutnya.
1. Redundant arrays of independent disks (RAID). Raid melibatkan penggunaan
penyimpanan data paralel yang menggunakan redundansi (duplikasi) data dan
aplikasi. Jika satu penyimpanan data gagal, data yang hilang otomatis
direkonstruksi dari komponen duplikasi yang tersimpan pada penyimpanan lain.
2. Sumber daya tanpa hambatan. Peralatan ini digunakan untuk mengontrol
masalah yang dapat mengganggu operasi pusat komputer termasuk pengaturan
tegangan, pelindung lonjakan arus, generator, dan baterai cadangan. Pada saat
listrik padam, alat ini menyediakan daya cadangan untuk menyimpan data atau
menyelamatkan data.

Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi tentang kontrol yang mengatur keamanan
pusat komputer. Secara khusus, auditor harus memastikan bahwa:
1. Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari
eksposur fisik.
2. Pertanggungan ansuransi pada komputer cukup untuk memberikan kompensasi
organisasi untuk kehancuran, atau kerusakan, pusat komputernya.

14
Prosedur Audit
Berikut ini adalah test kontrol keamanan fisik:
1. Uji konstruksi fisik. Auditor harus mendapatkan rencana arsitektur untuk
menentukan bahwa pusat komputer dibangun dengan kokoh dari bahan yang
tahan api. Auditor harus menilai lokasi fisik dari pusat komputer. Fasilitas harus
berada diarea yang minimalkan paparan kebakaran, kesalahan yang dilakukan
manusia, dan bahaya lainnya.
2. Uji sistem deteksi kebakaran. Auditors harus memastikan bahwa peralatan
deteksi dan pemadaman kebakaran, baik manual maupun otomatis, telah ada
dan diuji secara teratur. Sistem pendeteksi kebakaran harus mendeteksi asap,
panas, dan asap yang mudah terbakar.
3. Uji kontrol akses. Auditor harus memastikan bahwa akses rutin ke pusat
komputer terbatas pada karyawan yang berwenang. Rincian tentang akses
pengunjung (oleh programmer dan yang lain), dapat diperoleh dengan meninjau
log akses. Untuk memastikan kebenaran dari data ini, auditor bisa diam-diam
mengamati proses di mana akses diizinkan, atau meninjau rekaman video dari
kamera pada titik akses, jika sedang digunakan.
4. Uji RAID. Kebanyakan sistem menggunakan RAID yang menyediakan
pemetaan grafis dari penyimpanan disk yang redundansi. Dari pemetaan ini,
auditor harus menentukan jika level RAID ditempat memadai untuk organisasi,
mengingat tingkat risiko bisnis yang terkait dengan kegagalan penyimpanan.
5. Uji sumber daya tanpa hambatan. Pusat komputer harus melakukan test berkala
dari UPS untuk memastikan cadangan daya tersebut memiliki kapasitas yang
cukup untuk menjalankan komputer dan pendingin udara ketika terjadi
pemadaman listrik.
6. Uji pertanggungan asuransi. Auditor harus meninjau secara berkala
pertenggungan asuransi perusahaan pada perangkat keras komputer,
perangkat lunak, dan fasilitas fisik. Auditor harus memastikan bahwa semua
akuisisi baru terdaftar pada kebijakan dan peralatan dan perangkat lunak yang
usang telah dihapus. Kebijakan asuransi harus mencerminkan kebutuhan
manajemen dalam hal cakupan pertanggungan

2.4 PERENCANAAN PEMULIHAN BENCANA


Ada tiga macam bencana yang mengancam perusahaan yakni bencana alam,
bencana karena manusia, dan kegagalan sistem. Bencana alam seperti badai, banjir
yang meluas dan gempa bumi adalah yang paling berpotensi merusak dari ketiga
bencana lainnya dari perspektif masyarakat hal ini dikarenakan bencana ini dapat
berdampak pada banyak organisasi di wilayah geografis yang terdampak secara
bersamaan. Bencana karena manusia, seperti sabotase atau eror, dapat menjadi
perusak perusahaan individu, tetapi cenderung pada ruang lingkup dampaknya.
Kegagalan sistem seperti listrik padam atau hard-drive rusak mungkin tidak parah
namun paling mungkin terjadi.
Seluruh bencana ini dapat menghilangkan organisasi dari fasilitas pemrosesan
datanya, menghentikan fungsi bisnis yang dipromosikan atau dibantu oleh komputer,dan

15
mengganggu kemampuan organisasi untuk mengirimkan produk atau layanannya.
Dengan kata lain, perusahaan kehilangan kemampuan untuk berbisnis. Untuk
menghadapi bencana ini, perusahaan mengembangkan prosedur pemulihan dan
meresmikannya ke Disaster Recovery Plan (DRP). Meskipun rincian dari rencana ini
berbeda sesuai kebutuhan perusahaan namun ada empat fitur umum yang digunakan,
yakni:
1. Mengidentifikasi aplikasi penting
2. Membuat tim pemulihan bencana
3. Menyediakan situs cadangan
4. Tentukan cadangan dan prosedur penyimpanan di luar kantor.

Providing second-site back up


Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan
adanya fasilitas pemrosesan data duplikat setalh terjadi suatu bencana. Diantara
berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan), cold site
(ruang kosong), mutual aid pack dan cadangan yang disediakan secara internal. Disini
seorang auditor harus mengevaluasi kecukupan pengaturan lokasi cadangan.

Mutual aid pack


Mutual aid pack adalah perjanjian antara dua perusahaan atau lebih (dengan fasilitas
komputer yang sesuai) untuk bekerjasama atas kebutuhan pemrosesan data mereka
pada saat bencana terjadi.

Cold site
Cold site adalah pengaturan dimana perusahaan membeli atau menyewa gedung yang
akan berfungsi sebagai pusat data pada saat terjadi bencana.

Hot site
Hot site adalah pusat data cadangan yang dibagikan banyak perusahaan. Ini adalah
lokasi dimana langsung terhubung dengan data center utama sehingga dapat langsung
melakukan replika data.

Cadangan yang diberikan secara internal

Organisasi yang memiliki banyak pusat pemrosesan data memungkinkan perusahaan


mengembangkan konfigurasi perangkat keras dan perangkat lunak guna memastikan
kompatibilitas fungsional diantara pusat pemrosesan dalam organisasi tersebut. Selain
itu, adanya pengembangan konfigurasi ini ditujukan untuk meminimalkan masalah
cutover dalam kejadian bencana.

Backup Dan Prosedur Situs Penyimpanan

Semua data file, aplikasi, dokumentasi, dan persediaan butuh untuk melakukan bakcup
dan disimpan di lokasi situs penyimpanan yang aman. Pemrosesan data harus secara

16
rutin melakukan pencadangan dan prosedur penyimpanan untuk mendapatkan
keamanan pada sumber daya ini.

Cadangan sistem operasi

Apabila perusahaan menggunakan metode backup yang tidak kompetibel, maka


prosedur untuk mendapatkan versi sistem operasi harus ditentukan dengan jelas.

Cadangan aplikasi

Berdasarkan hasil yang diperoleh pada tahap aplikasi kritis yang telah dibahas
sebelumnya, DRP harus mencakup prosedur untuk membuat salinan dari aplikasi kritis
versi terkini. Dalam kasus perangkat lunak komersial, ini melibatkan pembelian salinan
cadangan dari upgrade perangkat lunak terbaru yang digunakan oleh organisasi.

File data cadangan

Di negara bagian dalam cadangan database adalah situs-situs yang mampu


diakses dari jarak jauh, yang menyediakan data terkini. Tidak semua organisasi mau
atau mampu menginvestasi dalam backup data. Namun seharusnya database tercopy
dalam kapasitas yang besar, media yang cepat dan aman. Dalam hal pengarahan,
rekonstruksi basis data dicapai dengan memperbarui versi terkini dengan data transaksi
selanjutnya. Selain itu juga, file induk dan transaksi file harus dilindungi.
Dokumentasi Cadangan

Dokumentasi sistem untuk aplikasi kritis harus dicadangkan dan disimpan di luar
lokasi beserta aplikasi. Dokumentasi sistem dapat merupakan jumlah material yang
signifikan dan proses backup semakin rumit oleh perubahan aplikasi yang sering terjadi
(lihat Bab 5). Backup dokumentasi mungkin, bagaimanapun, dengan disederhanakan
dan dibuat lebih efisien melalui penggunaan alat dokumentasi Computer Aided Software
Engineering (CASE). DRP juga harus menyertakan ketentuan yang mendukung manual
pengguna akhir karena pemrosesan transaksi individual dalam kondisi bencana mungkin
bukan staf biasa yang terbiasa dengan sistem.

Persediaan Cadangan dan Dokumen Sumber

Organisasi harus membuat persediaan cadangan persediaan dan dokumen


sumber yang digunakan dalam memproses transaksi penting. Contoh persediaan kritis
adalah cek saham, faktur, pesanan pembelian, dan bentuk tujuan khusus lainnya yang
tidak dapat diperoleh dengan segera. DRP harus menentukan jenis dan jumlah yang
dibutuhkan dari barang-barang khusus ini. Karena ini adalah elemen rutin dari operasi
sehari-hari, karena sering kali diabaikan oleh perencana kontinjensi bencana. Pada
intinya, perlu dicatat bahwa salinan dokumen DRP saat ini juga harus disimpan di luar
lokasi di lokasi yang aman.

Pengujian DRP
Yang paling diabaikan aspek dari rencana pencadangan adalah pengujian
DRP. Namun, test DRP itu penting dan harus dilakukan secara berkala. Test untuk
mengukur kesiapan dari pegawai dan mengidentifkasi kalalaian atau kemacetan dalam

17
perencanaan. Test ini sangat berguna ketika mensimulasi terjadinya gangguan yang
mengagetkan. Ketika mempermainkan suatu bencana telah diumumkan. Status dari
semua proses yang mempengaruhi harus menjadi suatu dokumen. Ini akan
menyediakan pendekatan yang memiliki tolak ukur dalam menujukkan penilaian.
Perencanaan harus dilakukan sejauh ekonomi yang layak. Idealnya, harus berisi backup
dari fasilitas dan persediaan.

Tujuan Audit

Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen


memadai dan layak untuk menghadapi masalah yang dapat menghilangkan oganisasi
sumber daya komputasinya.

Prosedur Audit

Dalam memeriksa manajemen DRP adalah solusi yang realistis untuk


menghadapi masalah, tes berikut yang dapat dilakukan.

Situs backup

Auditor harus mengevaluasi kecukupan dalam pengaturan situs backup. ketidak


cocokan sistem dan sifat manusia yang keduanya sangat menurunkan keefektifan yang
saling menguntungkan. Auditor harus skpetis terhadap pengaturan yang seperti itu untuk
dua alasan. Pertama, kecanggihan dari sistem komputer mungkin sulit untuk
menemukan partner yang memiliki potensi cocok. Kedua, sangat menegaskan tidak
terjadi kelebihan kapasitas untuk mendukung saat pasangannya telah dilanda bencana
dan sementara memproses pekerjaannya sendiri. Ketika keadaan genting datang,
manajemen dari perusahaan tidak tersentuh bencana dan akan cenderung memiliki
selera yang sedikit untuk mengorbankan perjanjian kehormatannya.

Lebih layak tetapi opsinya mahal adalah tempat yang kosong dan pusat
operasi pemulihan. Ini untuk diperiksa dengan cermat. Jika organisasi klien
menggunakan metode empty shell, maka auditor butuh memeriksa kevalidan kontrak
dengan penjual hardware untuk menjamin pengiriman hardware komputer yang
dibutuhkan dengan meminimalisir keterlambatan setelah terjadinya bencana. Jika klien
dari member ROC, auditor harus prihatin tentang penomoran member ROC dan
penyebaran geografis mereka. Bencana yang meluas mungkin membuat penerima tidak
puas pada fasilitas ROC.
Daftar aplikasi yang kritis
Auditor harus mereview daftar aplikasi yang kritis untuk memastikan
keberhasilannya. Kehilangan aplikasi dapat menghasilkan kegagalan dalam pemulihan.
Sama benarnya juga apabila memerlukan pemulihan. termasuk aplikasi di atas daftar
kritis yang tidak dibutuhkan dalam mencapai kelangsungan jangka pendek yang
mendapatkan sumber daya yang salah kaprah dan mengalihkan perhatian dari objek
yang dituju selama pemulihan berkala.
Backup perangkat lunak
Auditor harus memastikan copy dari aplikasi yang kritis dan sistem operasi
situs penyimpanan. Auditor juga harus memastikan jalannya aplikasi situs penyimpanan

18
dengan membandingkan nomer versinya dan penggunaan aplikasi yang sebenarnnya.
Nomer versi aplikasi akan dibahas pada bab 5.
Backup data
Auditor harus memastikan data file yang kritis terbackup sesuai dengan DRP.
Prosedure spesifikasi data untuk file yang besar dan hubungan database akan
didiskusikan pada bab 4.
Backup persediaan, dokumen, dan dokumentasi
Sitem dokumentasi, persediaan, dan dokumen tentang sumber daya butuh
proses transaksi yang kritis harus didukung dan disitus yang aman. Auditor harus
memastikan tipe dan kuantitas dari spesifikasi item di dalam DRP seperti cek stok,
persediaan, order pembelian, dan transaksi yang penting untuk diamankan di tempat
yang aman.
Tim penanggulangan bencana
DRP harus mendaftar dengan jelas nama, alamat, nomer telepon di anggota
tim penanggulangan bencana. Auditor harus memastikan yang termasuk dalam anggota
karyawan saat ini dan sadar untuk diberi tanggung jawab. Disatu kesempatan, yang
mana meninjau kembali DRP perusahaan, ditemukan penulis pemimpin tim untuk
mendaftar rencana untuk sampai 9 bulan.

2.5 OUTSOURCING FUNGSI IT


Kos, resiko, dan tanggung jawab asosiasi dengan memelihara fungsi IT
perusahaan sangat signifikan. Banyak eksekutif memilih outsourching fungsi IT mereka
terhadap vendor pihak ketiga yang mengambil alih tanggung jawab manjajemen dari IT
asset dan staf dan untuk pengiriman servis IT, seperti entri data, operasi data center,
pengembangan aplikasi, pemeliharaan aplikasi, dan jaringan manajemen. Dengan
memindahkan ke kinerja IT maka akan mampu membuat biaya tenaga kerja yang
rendah dan atau melalui skala ekonomi (dengan menggabungkan pekerjaan beberapa
klien), vendor dapat melakukan fungsi outsourcing lebih murah daripada perusahaan
klien, bisa sebaliknya. Penghematan biaya yang dihasilkan kemudian diteruskan ke
organisasi klien. Selain itu, banyak pengaturan outsourcing IT melibatkan penjualan aset
IT perusahaan.
Logika yang mendasari outsurcing IT mengikuti dari teori kompetensi inti, yang
mana sebuah organisasi harus fokus secara eklusif pada kompetensi inti bisnisnya,
sementara mengajak vendor outsourcing untuk secara efisien mengelola area non inti
seperti fungsi IT.
Aset komoditas TI tidak unik untuk organisasi tertentu dan dengan demikian
diperoleh dengan mudah di pasar. Termasuk manajemen jaringan seperti operasi
sistem, pemeliharaan server, dan fungsi meja bantuan. Aset IT spesifik, sebaliknya,
unik untuk organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang
istimewa, aset tertentu memiliki nilai yang kecil di luar penggunaan aset ini. Aset
tersebut dapat berwujud (peralatan komputer), intelektual (program komputer) atau
manusia.
Teori Transaction Cost Economics (TCE) bertentangan dengan sekolah
kompetensi inti dengan menyarankan bahwa perusahaan harus menyimpan aset TI
khusus non-inti . Karena sifatnya yang esoteris, aset tertentu tidak dapat diganti dengan
mudah begitu mereka menyerah dalam pengaturan outsourcing. Oleh karena itu, jika

19
organisasi harus memutuskan untuk membatalkan kontrak outsourcing dengan vendor,
mungkin tidak dapat kembali ke kondisi preoutsource-nya. Disamping itu, teori TCE
mendukung outsourcing aset komoditas, yang mudah diganti atau diperoleh dari vendor
alternatif.
Secara alami, persepsi CEO tentang apa yang merupakan komoditas, aset TI,
memainkan peran penting dalam dedikasi outsourcing TI, sering kali ini berkaitan
dengan masalah definisi dan interprestasi.

Risiko Yang Melekat Pada IT Outsourcing

Kejadian pengalihdayaan TI berskala besar merupakan upaya yang beresiko


karena besarnya jumlah transaksi keuangan, dan juga sifatnya. Tingkat resiko terkait
dengan tingkat kekhususan aset dari fungsi yang di outsourcingkan. Bagian-bagian
berikut menguraikan beberapa masalah yang terdokumentasi dengan baik.

Kegagalan untuk melakukan

Begitu perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi


terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing besar
Electronic Data Systems Corp. (EDS). Dalam upaya pemotongan biaya, EDS termina
memiliki tujuh ribu karyawan, yang berdampak pada kemampuannya untuk melayani
klien lainnya. Setelah harga saham terendah 11 tahun, pemegang saham EDS
mengajukan gugatan class action kepada perusahaan tersebut. Jelas, vendor yang
mengalami masalah keuangan dan hukum yang serius juga mengancam kelangsungan
hidup klien mereka.

Eksploitasi vendor

Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus", seperti


perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi. Aset khusus, yang bernilai bagi klien, tidak
banyak berpengaruh pada vendor di luar kontrak langsung dengan klien. Memang,
mereka mungkin tidak berharga jika organisasi klien gulung tikar. Karena vendor
mengasumsikan risiko dengan mengakuisisi aset dan tidak dapat mencapai skala
ekonomi dengan mempekerjakan mereka di tempat lain, organisasi klien akan
membayar premi untuk mentransfer fungsi tersebut ke pihak ketiga. Selanjutnya, setelah
perusahaan klien melepaskan diri dari aset spesifik tersebut, hal itu menjadi tergantung
pada vendor. Vendor dapat memanfaatkan ketergantungan ini dengan menaikkan tarif
layanan ke tingkat selangit. Seiring kebutuhan TI klien berkembang dari waktu ke waktu
di luar persyaratan kontrak awal, risiko akan berlanjut jika layanan baru atau tambahan
akan dinegosiasikan dengan harga premium. Ketergantungan ini dapat mengancam
fleksibilitas jangka panjang klien, kelincahan, dan daya saing dan mengakibatkan
ketergantungan vendor yang lebih besar lagi.

Biaya Outsourcing Melebihi Manfaat

20
IT outsourcing telah dikritik karena biaya tak terduga muncul dan tingkat keuntungan
yang diharapkan tidak terealisasi. Satu survei mengungkapkan bahwa 47 persen dari 66
perusahaan yang disurvei melaporkan bahwa biaya outsourcing TI melebihi keuntungan
outsourcing. Salah satu alasannya adalah ketika perusahaan outsourcing sering gagal
mengantisipasi biaya pemilihan vendor, kontrak, dan konsekuensi operasi TI kepada
vendor.

Mengurangi keamanan

Informasi yang diserahkan ke vendor TI di luar negeri menimbulkan pertanyaan unik dan
serius mengenai pengendalian internal dan perlindungan data pribadi yang sensitif.
Ketika sistem keuangan perusahaan dikembangkan dan dihosting di luar negeri, dan
kode program dikembangkan melalui antarmuka dengan jaringan perusahaan induk,
perusahaan A.S. berisiko kehilangan kendali atas informasi mereka. Untuk sebagian
besar, perusahaan A.S. bergantung pada langkah keamanan vendor luar negeri,
kebijakan akses data, dan undang-undang privasi negara tuan rumah. Misalnya,
seorang wanita di Pakistan mendapatkan data medis sensitif dari University of California
Medical Center di San Francisco. Dia mendapatkan akses ke data dari seorang penjual
transkripsi medis untuk siapa dia bekerja. Wanita itu mengancam akan menerbitkan
catatan di Internet jika dia tidak mendapatkan kenaikan gaji. Terorisme di Asia dan
Timur Tengah menimbulkan masalah keamanan tambahan bagi perusahaan yang
meng-outsource teknologi lepas pantai. Misalnya, pada tanggal 5 Maret 2005, polisi di
Delhi, India, menangkap sel dari tersangka teroris yang berencana untuk menyerang
perusahaan outsourcing di Bangalore, India.

Hilangnya Keuntungan Strategis

IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis TI


perusahaan dan fungsi perencanaan bisnisnya. Organisasi yang menggunakan TI
strategis harus menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko
penurunan kinerja bisnis. Untuk mempromosikan keselarasan tersebut, perusahaan
membutuhkan manajer TI dan chief information officer (CIO) yang memiliki pengetahuan
kerja yang kuat mengenai bisnis organisasi. Sebuah survei terhadap 213 manajer TI di
industri jasa keuangan memastikan bahwa kepemimpinan TI perusahaan harus
disesuaikan dengan strategi persaingan perusahaan. Memang, ada yang berpendapat
bahwa kompetensi bisnis CIO lebih penting daripada kompetensi TI mereka dalam
memfasilitasi kongruensi strategis

Untuk mencapai keselarasan tersebut, diperlukan adanya hubungan kerja yang erat
antara manajemen perusahaan dan manajemen TI dalam pengembangan strategi bisnis
dan TI bersamaan. Namun, ini sulit dilakukan ketika perencanaan TI dialihkan secara
geografis ke lepas pantai atau bahkan di dalam negeri. Selanjutnya, karena pembenaran
finansial untuk outsourcing TI bergantung pada vendor yang mencapai skala ekonomis,
vendor secara alami didorong untuk mencari solusi umum yang dapat digunakan oleh
banyak klien daripada menciptakan solusi unik untuk masing-masing perusahaan. Dasar
mendasar dari outsourcing TI ini tidak konsisten dengan usaha klien untuk meraih posisi
strategis di pasar.

21
Implikasi Audit It Outsourcing

Manajemen dapat mengalihdayakan fungsi TI organisasinya, tetapi tidak dapat


mengalihdayakan tanggung jawab manajemennya di bawah SOX untuk memastikan
kontrol internal TI yang memadai. PCAOB secara khusus menyatakan dalam Standar
Audit No. 2, "Penggunaan organisasi layanan tidak mengurangi tanggung jawab
manajemen untuk mempertahankan kontrol internal yang efektif atas pelaporan
keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi kontrol di organisasi
layanan, serta kontrol terkait di perusahaan pengguna, ketika membuat penilaian
tentang kontrol internal atas pelaporan keuangan. Oleh karena itu, jika perusahaan yang
melakukan audit mengalihkan fungsi IT-nya ke vendor yang memproses transaksinya
dengan data kunci, atau melakukan layanan signifikan lainnya, auditor perlu melakukan
evaluasi kontrol organisasi vendor atau secara alternatif mendapatkan laporan auditor
SAS No. 70 dari organisasi vendor.
Pernyataan tentang Standar Audit No. 70 (SAS 70) adalah standar definitif
dimana auditor organisasi klien dapat memperoleh pengetahuan yang mengendalikan
pada ketiga vendor pihak memadai untuk mencegah atau mendeteksi erosi material
yang dapat berdampak pada keuangan klien pernyataan Laporan SAS 70, yang
disiapkan oleh auditor vendor, pada pengujian terhadap kecukupan kontrol internal
vendor. Ini adalah sarana yang digunakan oleh vendor outsourcing untuk mendapatkan
laporan audit tunggal yang dapat digunakan oleh audiens klien dan dengan demikian
menghalangi perlunya setiap auditor perusahaan yang berbeda untuk melakukan audit
sendiri atas kontrol internal organisasi vendor

22
BAB 3
KESIMPULAN

Memahami dan mengawasi jalannya tata kelola informasi serta mengetahui risiko
apa saja yang akan ditimbulkan merupakan hal yang sangat dibutuhkan oleh sebuah
perusahaan. Tata kelola teknologi infornnasi yang baik merupakan penentu
kelangsungan aktivitas perusahaan. Setiap prosedur dan sistem yang dibangun untuk
melakukan pengamanan fungsi teknologi informasi akan berpengaruh pada proses
operasional entitas. Teknologi informasi menyediakan sarana salah satu akses sumber
informasi dan penyimpanan informasi itu sendiri. Untuk itu, perusahaan perlu memahami
risiko apa saja yang berpengaruh pada teknologi informasi serta memahami pemuihan
dari risko tersebut sehingga tidak mengganggu kegiatan operasional perusahaan.

23
REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage


Learning

24